Forening: Unødvendigt at bruge usikker Java-applet til NemID

NemID's Java-applet beder om fuld adgang til brugerens pc, men det er et usikkert design, som både kan misbruges af myndigheder og af mindre hæderlige websteder, der tilbyder login med NemID. Det mener IT-Politisk Forening.

Brugen af en signeret Java-applet i NemID er helt unødvendig og udgør blot en risiko for slutbrugerne. Det mener IT-Politisk Forening, som i dag kritiserer DanID for at have valgt en sikkerhedsmodel, som ikke er gennemtænkt.

»Det er endnu en pind i NemID's ligkiste. Jeg kan for så vidt godt forstå, at man har valgt at gøre sådan, for det er nemmest, men når det gælder sikkerhed, så må man kigge ud over, hvad der er nemmest,« siger kasserer Jørgen Elgaard Larsen fra IT-Politisk Forening til Version2.

Kritikken fra foreningen går på, at NemID anvender en signeret Java-applet. Det er et lille program, som brugeren skal godkende, når brugeren vil logge ind på en hjemmeside ved hjælp af NemID.

Sikkerhedsmodellen i Java-appletter var oprindeligt designet sådan, at appletterne skulle køre i en sandkasse, hvor de ikke havde adgang til det lokale system. Hvis appletten signeres, og brugeren godkender appletten, så får appletten imidlertid adgang med samme rettigheder som brugeren.

Ifølge DanID har man valgt den signerede løsning, fordi det sikrer bagudkompatibilitet med ældre udgaver af Java og Mac OS.

**Læs også: **DanID: Derfor bruger vi en signeret Java-applet.

Tidligere løsninger til netbanker har også brugt den samme fremgangsmåde, men når metoden nu kædes sammen med NemID, så stiger risikoen for misbrug, mener IT-Politisk Forening.

»Forskellen er, at nu har vi en samlet løsning for alle danskere. Før gjorde netbankerne det på forskellige måder. Idéen er, at NemID skal bruges til rigtigt mange ting, og så får mindre hæderlige sider mulighed for at stikke snablen ned i brugerens data,« siger Jørgen Elgaard Larsen.

Misbrug forudsætter, at webstedet distribuerer en Java-applet, som ikke bare indeholder NemID-login, men også indeholder kode til at spionere på brugerens pc eller installere programmer. Med NemID på mange flere websteder frygter IT-Politisk Forening, at man vænner brugerne til at give Java-appletter fuld adgang.

En anden risiko, som IT-Politisk Forening ser, er, at myndigheder, banker eller andre kan få adgang til at snage i brugernes data.

»Hvad er lovgrundlaget, hvis politiet henvender sig til en myndighed, fordi de vil have lov til at aflytte en bruger gennem NemID?« spørger Jørgen Elgaard Larsen.

Han godtager ikke DanID's forklaring om, at en signeret Java-applet var den teknisk bedste løsning.

»Der er for så vidt ikke noget der, gør at man ikke kan lave det som for eksempel Javascript. Det er ikke noget, der kræver adgang til filer på pc'en. Det skal bare bede mig indtaste et password og noget fra et papkort. Det er ikke noget med stor magi,« siger Jørgen Elgaard Larsen.

Han opfordrer DanID til at tage kontakt til Oracle, som står for udviklingen af Java, for at lægge pres på for at udvide sikkerhedsmodellen, så der bliver mulighed for mere granulerede rettigheder til appletter. Eksempelvis så en applet kan få adgang til at læse filer fra et bestemt bibliotek, men ikke har lov til at installere nye programmer.

På kortere sigt dømmer IT-Politisk Forening NemID ude, fordi DanID har anvendt de signerede Java-appletter.

»Generelt er det et problem, at man har lavet en løsning, hvor man centraliserer oplysninger. Men når man samtidig gør det på en måde, som ikke er gennemtænkt sikkerhedsmæssigt. Der er en masse aspekter, som man ikke har overvejet,« siger Jørgen Elgaard Larsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Schmidt

Man kan lave det med en ganske almindelig HTML Form som har været supportet i browsere siden tidernes morgen.

Appletten giver adgang til brugerens computer, selvom det ikke er nødvendigt, til forskel fra Digital Signatur, hvor det var nødvendigt.

Dan ID har ingen fornuftig forklaring. Det er et problem når en virksomhed, som det er meningen vi skal have tillid til, giver sig selv flere rettigheder, end de reelt har behov for.

  • 0
  • 0
Brian Matzon

"Misbrug forudsætter, at webstedet distribuerer en Java-applet, som ikke bare indeholder NemID-login, men også indeholder kode til at spionere på brugerens pc eller installere programmer."

Og hvordan er det LIIIGE at et websted ÆNDRER en signed applet?

At det er en underlig løsning, ændrer ikke på at den applet aldrig kommer til at gøre andet end det den var planlagt til at gøre.

  • 0
  • 0
Anders Thorseth

Jeg kunne godt tænke mig et overblik over, teknik, fordele og ulemper, forsvar og kritik af NemID.

Må jeg foreslå vi samler alt tilgængelig viden om NemID, beskrevet i et let forståeligt sprog og med fyldige referencer det mest naturlige sted til den slags:

http://da.wikipedia.org/wiki/NemID

I forhold til hvor mange kommentarer der er til hver NemID artikel, må da der også være nogle fakta, som kan beskrives leksikalt.

  • 0
  • 0
Peter Mogensen

Det var rimeligt med den gamle pga certifikatet, men nu er der ingen grund til at holde fast i java.

Det kommer nu an på hvad du mener med "gamle".

Mht. single-signon funktionen har Jyske Bank i gennem mange år vist os (hvis nogen skulle være i tvivl) at det kan klares Java, men blot med javascript, SSL og HTML.

Mht. offentlig signatur funktionen, så var det kun "rimeligt" i den gamle fordi der skulle genereres et nøgle-sæt på brugerens computer. MEN! i den gamle kunne man jo vælge 3. parts software som man evt. stolede mere på til at generere sin nøgle. I NemID er man bunden til at stole ubetinget på DanID til alt. Så selv den gamle java applet var bedre.

  • 0
  • 0
Thomas Jensen

Jeg har svært ved at forestille mig en moderne sikkerhedsløsning, implementeret i ren HTML og JavaScript og hvor en tredje part tager sig af authentifikationen.

Problemet med HTML og Javascript er at du ikke kan se hvem der sender det til dig. Det er ikke signeret, og har du først tilladt websitet som "trusted site", som er krav ved flere sites, er disk adgang så sandelig en mulighed.

At benytte VBScripts under lignende forhold, ændre ikke oddsene til det bedre. Og er iøvrigt ikke en mulighed uden for windows.

Men hvorfor så en signeret java applet ?

Fordi du med en signeret applet har du samme sikkerhed for at udbyderen er den de påstår de er, som du har med SSL/TLS krypterede forbindelser. Det er nemlig i vid udstrækning den samme teknologi der benyttes. Og så bliver appletten til NemID i øvrigt hentet over en krypteret (SSL) forbindelse.

Det at en applet er signeret åbner, så vidt jeg husker, også for at den kan oprette forbindelser ud af det domæne den er loaded i.
Kombineret med muligheden for at oprette sikre kommunikations kanaler, gør at data kan verificeres, uden at det website man logger ind på kan se kommunikationen. Selvom de måske gerne ville.

Endelig er det at en signeret applet har disk adgang, jo ikke nyt. Det nye er at det ikke længere er den enkelte tilfældige service udbyder, med deres egen special tilpassede applet og tvivlsomme selfsigned certifikater, der bliver givet adgang til din personlige data, samt certifikat og password til din digitale signatur.

Det tror jeg nu, at jeg vil sætte pris på hver eneste gang jeg benytter mit NemID.

  • 0
  • 0
Anton Lauridsen

Et andet problem er DanID ikke tilbyder support i nogen form hvis man har problemer med deres applet på Linux.

Videnskabs Ministeriet har sammen med DanID ingået en aftale om "kun" at supportere Windows og Mac. Dvs. at hvis man ikke kan få appletten til at virke under Linux er man helt uden nogen form for hjælp.

  • 0
  • 0
Peter Mogensen

I betragtning af at Danske Banks applet har gjort noget så tåbeligt som at matche på strengen "sun" i navnet på ens JVM, så kan man vist ikke blot sige at folk uden Windows og Mac selv har ansvaret for at deres system overholder de konkrete standarder.

Dvs. ... sådan en beslutning må da være i lodret strid med B103

  • 0
  • 0
Anton Lauridsen

Tjae.. jeg har en længere dialog med en medarbejder i IT og Telestyrelsen, hvor jeg forgæves prøver at få uddybet beslutningsgrundlaget, og det juridiske aspekter af beslutningen uden at få noget brugbart svar. I et af svarene står der bl.a.:

Beslutningen om kun at understøtte, men ikke supportere de allermindst udbredte platforme er som nævnt taget på baggrund af en afvejning af udbredelse og økonomi. FDIMs (Foreningen af Danske Interaktive Medier) kortlægning af udbredelsen af browsere og operativsystemer er lagt til grund for beslutningen.

  • 0
  • 0
Peter Mogensen

Beslutningen om kun at understøtte, men ikke supportere de allermindst udbredte platforme er som nævnt taget på baggrund af en afvejning af udbredelse og økonomi.

Ja - det er det samme ævl, som de altid har liret af - også før B103. Det får du også hvis du spørger Danske Banks support i dag.
Spørgsmålet er om de overholder en veldefineret standard - og det er jo tydeligvis ikke givet.

  • 0
  • 0
Anonym

For det første så er det en hel del at ovenstående indlæg som ikke har forstået at et af problemerne netop er at NemId er en Single SignOn-model hvor kontrollen ligger forkert - og ikke en Digital Signatur. Men Appleten tjener faktisk til at forbedre modellen relativt til MS Passport.

Problemet er at der ligger en ubehagelig modsætning mellem at have open source i styringen af nøgler på den ene side og så de centrale interesser i at sikre integriteten i deres modellen - både den gode del hvor en ondsindet ikke kan bryde ind og den dårlige del hvor borgerens dikteres af særinteresser.

Det gør det så værre at der samtidig også sniger sig Security by Obscurity elementer ind på klineten. Men i perspektiv bør man huske at det er smådetaljer i forhold til serverside Security By Obscurity aspekter.

Se mit indlæg her. Advarsel - langt indlæg
http://www.version2.dk/artikel/15787-danid-vil-vise-java-kode-frem-vi-ha...

  • 0
  • 0
Log ind eller Opret konto for at kommentere